セキュリティ | SEO-LPO.net

Apple、セレブのヌード写真流出に関してiCloudへの不正アクセスを認める―システムのハッキングは否定

ジェニファー・ローレンスら100人前後の女性セレブのヌード写真がインターネットに流出した事件ついて、Appleが公式声明を発表し、iCloudストレージ・システムに何らかの脆弱性があったことが原因ではないかという推測を強く否定した。ただしAppleはシステムのセキュリティーが破られたことはないとしたものの、一部のユーザーのアカウントがフィッシング、パスワードや「秘密の質問」の答えを推測するなどの一般的な方法によって不正にアクセスされた形跡があることは認めた。

Appleの声明の全文は以下のとおり。

カリフォルニア州クパチーノ(BUSINESS WIRE)　一部のセレブの写真の流出に関して、われわれの調査結果をアップデートする。ユーザーのプライバシーとセキュリティーはわれわれの最大の関心事であるので、この憎むべき盗難に気づくと同時に全力で調査を開始した。40時間に上る調査の結果、一部のセレブのアカウントが不正にアクセスされた形跡があることを発見した。その方法はユーザーを個別に標的としたパスワード推測、「秘密の質問」の答えの推測など、これまで無数に繰り返されてきた伝統的なものだった。いずれのケースでもiCloud® やFind my iPhoneを含むAppleのシステムそのものへのハッキングではなかった。われわれは捜査当局と協力して犯人の身元の割り出しに当たっている。

こうした被害を防ぐため、強いパスワードと2ステップ認証を利用するよう勧める。詳細いついてはこちらのウェブサイトを参照。 http://support.apple.com/kb/ht4232

要するにiCloudのアカウントの一部が不正にアクセスされたが、それはAppleのシステムの脆弱性によるものではなかった、ということだ。不正アクセスの手口は個人ごとにさまざまな情報を収集してパスワードを推測するなどきわめて古典的なものだった。

[原文へ]

（翻訳：滑川海彦@Facebook Google+）

ジェニファー・ローレンスのヌード写真はなぜ流出したのか―ハッカーから身を守るには？

すでにご存知だろうが、ジェニファー・ローレンス、アリアナ・グランデ、ビクトリア・ジャスティス、ケイト・アプトンら100人前後の女性セレブのヌード写真がインターネットにリークした。リーク元はiCloudアカウントらしく、まず4Chanでインターネットに公開され、続いてあらゆる場所に拡散した。iCloudは写真、メール、連絡先その他の情報を自動的にクラウドにバックアップし、同じユーザーが利用するAppleのデバイス間で同期を行う。ジェニファー・ローレンスはリーク写真が本物だと認めた。他の写真の多くも本物らしい。

匿名のハッカーは画像を最初に4Chanに投稿し、iCloudのアカウントから盗んだものだと主張した。ハッカーはPayPalとBitcoinによる寄付を募ったが、集まったのは0.2545 BTCに過ぎなかった。この寄付は次のアドレスから確認できる。 18pgUn3BBBdnQjKG8ZGedFvcoVcsv1knWa

iCloudそのもののセキュリティーが破られたとは考えにくい。しかしインターネット・セキュリティー全般をもう一度チェックする機会として、セレブ写真のハックがどのように行われたか考えてみよう。

マスコミ

メインストリームのメディアは「スマートフォンがハックされた」と報じている。しかしマスコミの使う「ハック」という単語はその内容が非常にあいまいだ。ローレンスは以前、「私のiCloudは『バックアップしろ』って言うんだけど、どうしたらいいか分からない。自分でやってくれればいいのに」と語っていたからiCloudを利用していたことは確かだ。画像のメタデータからするとリーク写真の大部分はAppleのデバイスで撮影されたもののようだ。.

「ハック」の内容

iCloudがハックされたという記事があるが、Appleからはもちろん確認されていない（この可能性については後述）。iCloud自体のセキュリティーが破られたという可能性は低いが、ハッカーが特定のセレブ・ユーザーを対象にパスワード攻撃、ソーシャルエンジニアリング攻撃、「パスワードを忘れた場合」攻撃、ないしその組み合わせを仕掛けたということは考えられる。

メールアドレスとパスワードの推測

ジェニファー・ローレンスはTimeの記事で「自分のメールアドレスにはキーワードが含まれている」と語った。これは賢明な発言ではない。いずれにせよメールアドレスがわかれば偽のiTunesストアにおびき寄せるようなメールを送ることができる。被害者は偽のページにパスワードを入力してしまう。Guardianはこのようなフィッシング攻撃がリークの原因ではないかと推測している。

標的の生年月日と「秘密の質問」の答えを知っていればAppleシステムの「パスワードを忘れた場合」を使って新しいパスワードを設定できる。セレブの場合、プライベートな情報が大量に出回っているので、「秘密の質問」の答えが推測できてしまう可能性は十分にある。

iCloudのセキュリティー対策

しかしiCloudにアクセスする場合、Appleはいくつかのセキュリティー対策を施している。ユーザーが新しいApppleデバイス（OSXまたはiOS）からiCloudにアクセスした場合、iCloudはユーザーのメールアドレスに新しいデバイスからのログインがあったと通知する。またiCloudアカウントが設定されているすべてのAppleデバイス（iPhone、iPad、Mac）に同じメッセージが送られる。

もしユーザーが新しいデバイスからログインしたことがないなら、その通知を受け取ったユーザーは「ハック」されていることに気づくはずだ。メッセージは新たなログインと同時に送信されるから、すぐに気づいてパスワードを変更すればハッカーが30日分の写真をダウンロードする時間はないかもしれない。

ブルートフォース攻撃

もうひとつパスワードを手に入れる方法はランダムにパスワード入力を繰り返すブルートフォース攻撃と呼ばれるものだ。スクリプトによるiCloudアカウントへのブルートフォース攻撃は理論的には可能だ。

Next Webの記事によれば、最近、悪意あるユーザーがiCloudにブルートフォース攻撃を仕掛けるPythonスクリプトをGithub（その後Hacker Newsにも転載）にアップロードしたという。これはFind my iPhoneサービスの脆弱性を利用したものだったが、Appleはすでにこの脆弱性を修正ずみだという。このスクリプトが今回のリークの原因かどうについてはまったく情報がない。

その他の可能性

上記以外にもリークの原因はさまざまに考えられる。Androidで撮影されたらしい写真もあるのでリーク元はすべてがiCloudではないかもしれない。セレブのWiFiが盗聴されたのではないかという説もある。リークは往々にしてアシスタント、ボディーガードなど身内の人物が手を貸している。デバイスを紛失したり盗まれたりすればアカウントにアクセスされてしまう。。

2ステップ確認を使おう

もっとも効果的なのはiCloudの2ステップ確認（Googleの場合は「2段階認証」）を有効にすることだ。新しいデバイスからログインする際に、ユーザーはパスワードと同時に指定したモバイルデバイスに送信される確認コードを入力しなければならない。つまりハッカーはパスワードを知っても、確認コードを知らなければログインできない。Apple、Googleだけでなく、ほとんどの主要サービスが2段階認証をサポートしている。

またパスワード再発行の際に必要になる「秘密の質問」を「ペットの名前」のような見え透いたものにすることを止める必要がある。qwertyとか123456といった馬鹿げたパスワードを使わないのももちろんだ。

それでもまだ心配なら、設定を開いてiCloudへの写真の自動バックアップをオフにしておくことだ。

これが初めてではない

セレブのプライベート写真がリークしたのはこれが初めてではない。2011年にも大勢のセレブの写真が流出した。犯人のChristopher Chaneyは単なる推測でパスワードを得てメールアカウントに侵入していた。Chaneyは裁判で懲役10年を宣告された。しかしこうした事件でハッカーが逮捕されることはめったにない。ユーザーは結局、自分で身を守るしかない。

[原文へ]

（翻訳：滑川海彦@Facebook Google+）

デバイスの行動パターンから侵入を検出するモバイルセキュリティアプリZimperiumのzIPSがiOSにも登場

モバイルのセキュリティサービスを提供し、インターネットのような公共的ネットワークの脆弱性を見つけるZimperiumがこのほど、同社のメインの製品であるMobile Threat Defense Suiteを2.0にアップデートし、またその、zIPSと呼ばれるiOS用アプリをリリースした。

zIPS(Zimperium Intrusion Prevention System, 侵入防止システム)は約半年前にAndroid用がリリースされ、それは機械学習を利用して、日常的な使用におけるデバイスの内部動作を理解する。その日常的パターンを覚えたアプリは、そのパターンに含まれない動きを検出し、異状をユーザに知らせる。

その動作検出エンジンをiOS上に実装するのには2週間弱しかかからなかったが、iOSのスタンダートに合わせるための作業でリリースが遅れた。

zIPSアプリは一般消費者ではなく企業の社員を対象にしている。スマートフォンのセキュリティは万人の問題だから、そのことが少々残念だ。

ZimperiumのCEOでファウンダのItzhak “Zuk” Avrahamは、次のように述べる: “このプロダクトを消費者向けに提供することには何ら問題はない。しかし今現在は企業を守ることに専念しているので、近い将来には一般公開することも検討したい”。

今このアプリを使うためには、Zimperiumのライセンスと同社のインフラストラクチャが必要だ。

でもAvrahamによると、将来的にはzIPSの対象範囲を物のインターネット(IoT)にも広げ、 Zimperiumのサービスを消費者と企業の両方に提供していきたいという。

SamsungとのパートナーシップによりZimperiumのAndroidアプリは、SamsungのマーケットプレースKNOX 2.0に加わる。KNOXはSamsungの企業向けモバイルセキュリティソフトウェアで、それが今後はAndroid上のデフォルトのセキュリティソリューションになる。

同社は昨年Sierra Venturesから800万ドルを調達し、Samsungからも資金を得ている。

〔デモビデオ１、デモビデオ２、ＦＡＱ。〕

[原文へ]
（翻訳：iwatani(a.k.a. hiwa)）

そろそろ本当のセキュリティに取り組もう

[筆者: Andre Durand]

編集者注記: Andre Durandは、Ping IdentityのファウンダでCEOだ。

あなたのデータは今どこにあり、どうやればそれに迅速かつ安全に手が届くのか？

今やDropboxやGoogle Apps、iCloudなどクラウド上のモバイルアプリや、モバイルの銀行アプリなどが、家庭でも職場でも日常的に使われているから、この疑問が誰の脳裏からも離れることがない。西暦2020年にはインターネットに接続されたデバイスの台数が、一人あたり6.5台になると言われている。その中には、赤ちゃんモニタやペースメーカーなどもある。そのときには、もっと大きな疑問が首をもたげる: ハッカーがそれらのデバイスや機密情報に、いったいどれだけ、容易にアクセスできるのか？

インターネット上で自分の存在が多くの人に知られるのはしょうがないとしても、自分の個人情報はどうやって守ればよいのか？　会社やパートナーや顧客の情報、それに会社の情報システムを守らなければならない企業のCIOやITチームにとって、この疑問はさらに重い。こんな状況が、今では一般的にある:

・海外出張中の役員が、安全でないネットワークから社内のシステムにアクセスする。
・社員はモバイルデバイスを使って会社のシステムにログインし、しかもそのシステムはクラウド上で動いている。
・機密情報がメールやクラウド上のストレージサービスやWebサイトで共有されている。

しかもこれらは、ITのセキュリティポリシーに従っていないことが多く、当事者がそういうポリシーの存在を知らないことも多い。ハッカーは、弱いパスワードを解読したり、盗んだりして、ファイヤーウォールなど会社のセキュリティの壁を乗り越え、機密であるはずの個人情報をネットワークからさらっていく。

アイデンティティこそが、セキュリティの主役であり、その場しのぎの脇役であってはならない。

このような現実は、企業に費用を発生させる…しかも大金を。2013年におけるデータ盗難事件の損害額は、一件平均で350万ドルで、前年より15%増えている。ハッキング行為が合衆国の経済に及ぼす被害は、年間1000億ドル、50万人と言われる。そしてハッカーの被害が増えているにもかかわらず、彼らに対抗できない古いセキュリティソフトウェアへの支出が、今だに続いている。2017年には、ウィルス撃退ソフトやネットワークのセキュリティ、モバイルやクラウドのセキュリティなど、セキュリティのソリューションに500億ドル近くが支出される、という。

セキュリティ産業がこれだけ大規模に存在する理由の大半は、30年前のインターネットの草創期に、アイデンティティ（本人性）をネットワーク本体に正しく組み込まなかったことにある。しかもこれまでのセキュリティモデルは、既知の、コントロール可能で信頼できるユーザやデバイスやアプリケーションが一箇所にまとまっていて、それらをファイヤーウォールが包んで守る、という前提に立っている。クラウドとモバイルが支配しつつある今日では、そんなセキュリティモデルはまったく役に立たない。

Ponemon Instituteが行った調査によると、セキュリティの専門家たちの57%が、彼らの担当企業が高度な攻撃に対して守られていないと答え、63%が秘密情報のリークを防げないと答えている。そして多くが、自分の企業も過去に侵犯されたことがある、と当然のように考えている。ではどうしたらいいのか？

パスワードを排除する

サイバー犯罪に対していちばん弱い急所が、パスワードだ。今はまだ、各人がインターネットに対して自分のアイデンティティを証明するための、強力で継続的で普遍的な方法がないので、どのアプリケーションもデバイスも、ユーザ名とパスワードで本人性を確認せざるをえない。この冗長で無駄が多くてしかも究極的に欠陥のある現実が、ネットワークやアプリケーションやデータに対する何億もの、脆弱で簡単に破れる入り口を作り出している。

コンピュータのパスワードの父と呼ばれるMITの名誉教授Fernando Corbatóですら、強力なパスワードは記憶が困難だから、パスワードという方式には欠陥がある、と言っている。その結果、多くの人が複数のアカウントで同じパスワードを使い回し、ハッカーの破壊行為をより楽にしてやっている。Verizonの2013年の調査報告書Network Investigations Data Breach Reportによると、ネットワーク犯罪の76%は、弱い、または盗んだパスワードを悪用している。その被害額が、またすごい。Forrester Researchによると、オンラインサービス全体のパスワード破りによる被害額は各年およそ2000億ドルあまりに達する。

ちょっとここで、計算してみよう。IT用のセキュリティ製品に年間500億ドル近くが投資されていて（上述）、各年のパスワード関連の被害額が2000億ドルだ。すなわち、レガシーのセキュリティおよびアイデンティティアクセス管理手法は、毎年失敗を重ねている。でも、パスワードをなくすことが、本当に現実的なソリューションだろうか？

パスワードを不要にする、と称する技術が今ではいくつかある。iPhoneで広まった指紋認証などバイオメトリックスによる方法、USBのセキュリティトークン、Trusted Platform Modules(TPMs)、セキュアエレメントの埋め込み(embedded secure elements(eSEs))、スマートカードなど。でも今のところ、どれも決定版ではない。なぜか？　それは、われわれがまだ、インターネット全体にわたってネットワーク化されたアイデンティティを持っていないし、したがって、われわれが利用できる、すべてのシステム（ネットワーク、ISP、モバイルデバイス、クラウドアプリケーション等々）に通用する単一の強力な本人証明と認証のシステムがないからだ。アイデンティティこそが、セキュリティの主役であり、その場しのぎの脇役であってはならない。

以上すべてにわたって、アイデンティティが鍵だ。それはすべてのサービスや機能に対する普遍的なコネクタであり、個々のサービスやプロバイダの違いを超えている。

われわれの日常生活の中に深く浸み込んでいて、長年の条件付けによって日常の行動の中に固着しているものを排除するのは、不可能のようにも思える。しかしそれでも、アイデンティティこそが未来だ、と認識している企業も存在する。彼らは予算を、従来的なセキュリティからアイデンティティへと配分替えしつつある。それは、アイデンティティがより強力なセキュリティを提供するからだけでなく、それによって、現代的な環境の中でビジネスを行う方法をアイデンティティが根底から変えるからだ。彼らは、セキュリティの範囲がファイヤーウォールの内側だけでないことを認識している。クラウドがあり、自分たちのアプリケーションにアクセスするためにユーザが使うデバイスがある。それらは、ラップトップ、タブレット、スマートフォンなど、さまざまだ。

そんな前衛的な企業って、誰のことだろう？　たとえば合衆国の5大銀行は、パスワードだけへの依存から卒業しようと、思い切った努力をしている。ログインには相変わらずユーザ名とパスワードが必要だが、いったんシステムの中へ入ると、各企業の連邦化されているネットワークの内部の、何十ものプログラムにユーザはアクセスする。リダイレクトもなく、複数回のログインもない。

たとえば新しい小切手をオーダーするときには、システムに統合されている決済プロバイダがそのオーダーを、再ログイン不要で処理する。オンラインの投資ツールを使いたければ、別のサービスに回されるが、しかしその銀行のサイトを去ることはない。現金割引の払い戻しを受けたいときには、何百もの小売企業を顧客にしているパートナーがその処理を引き受ける。逆に電子請求書(ebill)に対して支払いを済ませたいなら、それ専門のベンダに銀行のサイトからアクセスできる。

以上すべてにわたって、アイデンティティが「鍵」だ。それはすべてのサービスや機能に対する普遍的なコネクタ（接続役）であり、個々のサービスやプロバイダの違いを超えている。企業の中では、社員や出入り業者に対してアイデンティティが、彼らのロール（役割）に合ったアプリケーションの使い方を導く。ユーザのアイデンティティの確証さえ確かなら、企業は何十何百ものサービスに、複数のサインイン/アウトなしでアクセスを提供できる。

その情報には正しい人だけがアクセスできる、という状態が、ユーザのユニークなロールに基づいて成立するなら、インターネット関連の生産性は飛躍的に向上する。企業はすべてのパートナーや供給業者との統合を、セキュアに行える。現代的な企業のこんな状態が、近い将来に規範（ノルム）になることを、期待したい。

そこには大きな機会がある

クラウドとモバイルの登場によって、セキュリティへのお金の使い方が変わりつつある。投資家たちはこの機会に目をつけ、現代的な企業のセキュリティの形を変えるスタートアップに投資しようとしている。2009年以降では、それぞれユニークなプロダクトを抱えるセキュリティ方面のテクノロジ企業に29億ドルあまりが投資された。2014年の最初の3か月だけで、セキュリティ分野の生まれたてほやほや企業26社に1億5000万ドルあまりが投資された。

これからの課題や機会がどこにあるかというと、それは、ユーザやデバイスやアプリケーションを確実に信頼できて、それらをセキュアにインターネットに接続するためのフレームワークを確立することだ。この課題と機会の中では、アイデンティティとセキュリティが同じ一つのものである。別の言い方をすると、セキュリティの真の唯一の対象、それはアイデンティティだ。それは、会社でもネットワークでもストレージでデータでもない。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa)）

パスワードを不要にする眼球による認証技術のEyeVerifyが$6Mを調達…まず一部銀行が採用へ

銀行は今や、あなたの瞳の中にある。EyeVerifyでは、文字通りそうだ。この新種の本人確認技術は、顔の8インチ前にスマートフォンを構え、自分の眼球を撮る。するとEyeVerifyが鞏膜(きょうまく)（目の白い部分）上の血管をパターンマッチングして、あなたの銀行口座を開けてくれる。ハッカーがPINやパスワードを盗んで、あなたの口座に忍び込むことは、もうありえない。

EyeVerifyは二度目のシリーズAで資金も潤沢だ。Wells Fargo Bankのほかに、Sprintと中国のセキュリティ企業Qihoo 360が今日（米国時間8/20）、この、銀行のための目の玉セルフィー技術に600万ドルを注ぎ込んだ。Qihoo 360やSprintなどのモバイル企業の参加は先月Wall Street Journalが報じていたが、今度はWells Fargoまでやってきて、このラウンドをまとめた。

EyeVerifyは、Wells Fargoがこのほど発表したスタートアップアクセラレータにも加わっている。このアクセラレータの目的は、金融業の未来を形作る技術やアイデアのために、年2回のブートキャンプを開催することだ。Wells Fargoのホールセールサービス部長Steve Ellisは、EyeVerifyについてこう述べる: “EyeVerifyこそまさしく、金融業や金融業にとって重要なeコマースに、モバイルのセキュリティにおけるテクノロジのイノベーションをもたらすものだ”。

EyeVerifyによると、音声認識は精度にばらつきがあるし、顔認識はまだまだ完成度が低い。目を測定する方法は昔から軍やハリウッド映画で使われてきたが、EyeVerifyのEyeprint ID技術は今いくつかの興味深いトレンドの波に乗っている。それらは、あの深刻なHeartbleedバグ、頻発するパスワードハッキング、インターネットのプライバシーに関する不安の増大、そしてスマートフォン上のフロントカメラの高性能化、…こういったトレンドに押されてこのユニークな技術が、銀行やセキュリティ界隈にとって魅力を増しているのだ。

EyeVerifyの協同ファウンダToby Rushは、今回得られた資金によってバイオメトリクス技術Eyeprint IDを銀行業界や一般企業のモバイル管理、モバイル企業、通信企業、保健医療、政府機関などに普及推進していきたい、と言う。

“われわれには幸運にも、パスワードという苦痛とリスクを無用にする画期的な、そしてシンプルでセキュアでプライベートな技術があり、今ますます大きくなっている市場のニーズに対応できる”、とRushは付け加えた。

同社のこれまでの投資家であるMid-America AngelsやThink Big Partners、Nebraska Angel NetworkなどもこのシリーズAに参加した。Samsungも、同社の投資家だ。今回のラウンドで同社の調達総額は約1000万ドルになる。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa)）

共有データを幅広く「自己消滅型」にするDSTRUX

友だちと写真や誰かの言葉などを共有して、それがあっという間に広がってしまい、制御不能になった経験を持っている人は多いことだろう。ソーシャルメディアに投稿した場合も、やはり意図せず拡散してしまう場合がある。ツイートしたりFacebookに投稿したりした場合、ひとたび広まってしまうと全く制御不能となってしまうのだ。

そうした状況をコントロールしようとするのがDSTRUXだ。サービスは4月にウェブサービスとして提供開始となった。写真やドキュメントは自動的に暗号化され、それを自己消滅タイマーに応じた時間のみ意図した相手にメールないしFacebookで共有するというサービスだ。

このDSTRUXが無料のiOSアプリケーションをリリースした。ウェブと同様に、決められた時間のみアイテムを公開するものだ。

設定した時間内であっても、意図せぬ範囲にデータが広まってしまっていると感じれば、共有を停止することもできる。類似サービスはあったものの、スクリーンショットを取られればどうしようもなくなるというのが本当のところだった。こうした面にも気を配ったのがDSTRUXの強みだ。

DSTRUXには3つの重要な機能がある。すなわちスクリーンショット防止機能、印刷防止機能、およびローカルあるいはクラウドへの保存禁止機能だ。

ファウンダー兼CEOのNathan Hecht曰く、DSTRUXは個人ユーザーだけでなく、企業をも対象としているのだとのこと。

「この仕組みを利用すれば、安心して情報をシェアすることができます。どこまで情報が広がってしまったのかとか、いったいどこの誰が情報を閲覧しているのだろうということを気にせずに済むようになるのです」と言っている。

ファイルを削除したり、あるいは閲覧タイムリミットを超えたような場合には、DSTRUX上のデータは完全に削除され、復元できなくなる。

情報を共有する前に、どのように情報を扱うべきかきちんと考えるべきなのだと言う人は多いことと思う。しかし友だちや職場の同僚に対してシェアしたデータについても、事後的にアクセスコントロールが行えることになれば、それが便利でないわけはない。

Snapchatが自動消滅型のデータのやり取りというスタイルをメジャーにしてくれた。しかしSnapchatはスクリーンショットに対して無力でもあった。ここに着目したのがDSTRUXであるということもできよう。より深刻なケースでも利用できるようにしつつ、しかし同時に、操作性は簡単であるようにしようとした努力のあとが見られる。

現在のところ、写真とドキュメントには対応しているが、まだビデオには対応していない。しかしこれについても作業中で、さらにAndroid版も9月中にはリリースできる見込みだとのことだ。

［原文へ］

（翻訳：Maeda, H）

ChromeのSafe Browsingサービスが今度から怪しげなソフトウェアのダウンロードにも警告を出す

ここ数年Googleは、同社のSafe Browsingサービスにより、ありとあらゆる種類のセキュリティ機能をChromeブラウザに加えてきた。マルウェアやフィッシングサイトなど、安全でないと思われるサイトをユーザが訪れようとすると警告するし、マルウェアサイトと分かっているところからソフトウェアをダウンロードしようとしても、やはり警告をくれる。そして今日からは、このサービスをさらに広げて、“人を欺くソフトウェア”のダウンロードも警告対象に含める。つまりそれは、ユーザの役に立つプログラムを装っているが、実際にはユーザのオペレーティングシステムやブラウザをふつうではない状態にしてしまうソフトだ。

よくあるのが、ブラウザのホームページ（起動時ページ）を変えようとしたり、なんらかのアドウェア*をインストールするプログラムだ。〔*: adware, ユーザーが望まないのにインターネット閲覧中に勝手にダウンロードされ, しばしば性的な広告を自動的に表示する悪質なプログラム; MALWARE, SPYWAREを兼ねるものもある（研究社オンライン辞書より）。というか一般的には、広告を表示することだけが主目的のソフトウェア。〕

pua.exeはあなたの閲覧体験に害を与えるかもしれないので、Chromeはそれをブロックしました。[無視する]

この種のダウンロードを見つけると、必ずSafe Browsingの警告が出る。そのときユーザは、ダウンロードを避けてもよいし、なんらかの理由で大丈夫と思えば、警告を無視してそれをダウンロードしてもよい。

Googleによると、Safe Browsingの警告は週平均300万回表示されていて、トータルでは11億人の人びとを守っている。かなり多い数だが、これはChromeの全ユーザに、Safe BrowsingのAPIを使っているそのほかのブラウザやアプリケーションのユーザを加えた数字だ。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa)）

Yahoo、Googleと協働してエンドツーエンドのメール暗号化実現へ

YahooはGoogleと協働して、電子メールにてエンドツーエンドの暗号化を実現する予定であるとのことだ。政府やハッカーたちによる覗き見の危険性を気にすることなく、プライベートな通信が行えるようになる。このアナウンスはBlack Hatセキュリティカンファレンスの壇上で行われたものだ。

Yahooの情報セキュリティ部門チーフのAlex Stamosによると、Yahooは今年末あたりにも、暗号化の仕組みに用いるソースコードを公開したいとのこと。曰く「Googleとも密接に連携しながら、双方のエンドツーエンドの暗号化に互換性をもたせるべく作業を続けているところです」とのことだ。

Googleも6月にメールにおけるエンドツーエンドの暗号化を構築中である旨をアナウンスしていた。このYahoo-Googleの共同歩調が他のプロバイダにも波及して欲しいところだ。メジャーなメールサービスが相互に流通するメッセージを暗号化してやりとりするようになれば、利用者はより多くの利用者がセキュアな環境を利用できるようになる。

もちろんこうした動きはスノーデンによる情報収集活動についての暴露に端を発するものだ。以来、情報をよりセキュアなものとするための動きがあちこちで繰り広げられている。YahooおよびGoogleの両者は、NSAがデータセンター間の通信ケーブルの情報を傍受していることを明らかにしてから、データセンター間の通信の機密性を強化する旨をアナウンスしていた。

ネットワーク上では、一般の利用者でも簡単に用いることのできる暗号化技法が必要とされている。Yahooもそうしたニーズに真摯に応対しようとしているわけだ。

［原文へ］

（翻訳：Maeda, H）

パスワードを博物館へ追いやるNymiの心拍認証システムがエミュレータとSDK(ベータ)を提供開始

パスワードの時代は終わろうとしている。セキュリティのリスクと要求が増す一方の（そしてその要求に応えられない）、古くさい英数字のパスワードは、これからの長期にわたる実用性がなく、すでにBionymのようなスタートアップが、パスワードに代わる認証方式を作り始めている。同社の、心拍認証リストバンド(wristband, 腕輪)Nymiはもうすぐ発売されるが、デベロッパたちはそのハードウェアエミュレータ“Nymulator”のベータバージョンを使って、WindowsやMacの上でソフトウェアを開発できる。

NymulatorとそのSDKを使うとデベロッパは、手元にNymiの実物がなくてもソフトウェアのプロトタイプを作れる。ただしデベロッパ用の実物ハードウェアはこの夏の終わりごろから、申し込みのあったプログラマたちに配布できるという。

デベロッパポータルをローンチしたBionymは、デベロッパから寄せられた面白いプロジェクトを精査して、実際に消費者が製品を腕につけたときに、どんな製品であることや、何ができる製品であることを望むのか、それを事前に知ろうとしている。本誌はこの4月にNymiの実用デモビデオを入手したが、それを見ても、この製品の将来性がとても大きい、と分かる。サービスへのログイン、特定のユーザプロフィールに合わせたコンピュータのセットアップなど、いろいろな目的に使えるし、最終的には、あなたが自分の家に入ろうとするときや、自分の車（あるいはレンタカー）に乗ろうとするときにさえ、使われるだろう。

ぼくの真剣な希望は、今のような専用リストバンドだけでなく、スマートフォンや、そこらのありふれたいろんなウェアラブルに、この本人認証機能が内蔵されることだ。もちろんNymiリストバンドは、そういう道を切り開くための強力な概念実証となるだろうが。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa)）

TwitterがパスワードセキュリティのMitroを買収、製品をオープンソース化

Twitterは同社のニューヨーク支社のために、パスワードのセキュリティを提供する小さなスタートアップMitroを買収する。Mitroは、一つのアカウントで複数の人がパスワードを共有する方法を開発した。

たとえば企業などでは、チームのメンバが何かのサービスのアカウントのパスワードを共有したほうが、情報共有がうまくいく場合がある。Twitterはこのプロダクトのオーナーにはならず、チームは位置関連の開発に回されるらしい。

ただし、これまでの買収と違って、Twitterはこのプロダクトを存続させる。Mitroはオープンソースのプロジェクトになり、同社はElectronic Frontier Foundationと共同でコードを管理し、Mitro自身は自立的で非営利でコミュニティが支えるサービスになる。当面それは、少なくとも年内までは可利用である。同社はMitroのサーバとクライアントのコードのすべてを、GPLライセンスのもとにGitHub上にリリースした。

これは、Twitterのこれまでの買収のやり方とは違っている。たとえば同社がPosterousを買収したときは、そのプロダクトを閉鎖し、協同ファウンダで今はY CombinatorのパートナーであるGarry Tanは、 Posthavenという代替プロダクトを作った。Posterousのそれまでのユーザたちが路頭に迷うのを、防ぐためだ。つまりプロダクトにTwitterにとっての戦略的価値がないときには、人材の取得だけを目的とする方が、割に合うのだ。

Mitroはこれまで、Google VenturesとMatrix Partnersから120万ドルの資金を調達している。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa)）

スマートフォンのアンロックを行うためのタトゥーシール登場

実際にありそうなジョークグッズの話だろう、と最初は思った。しかしジョークではなく本当のプロダクトであるようだ。

モトローラがVivaLnkと提携し、スマートフォンをアンロックするのに利用できるタトゥーシールの提供に乗り出したらしい。これを利用すればPINコードの入力も不要になる。肌の上にタトゥーシールを貼り、そこにスマートフォンをかざせばアンロックできるというものだ。

身体埋め込み型アンロックシステムが使えるのならば、ジェスチャーや顔認識によるアンロック機能など無用になるのかもしれない。

どのような仕組みなのか。これは身体には影響のない（とされている）メディカルグレードの3M粘着テープにより、超薄型NFC回路を身体に貼り付けることにより動作させるものだ。

タトゥーシール10枚で10ドルとなっている。モトローラによれば水泳など各種エクササイズでも剥がれることはなく、5日間は皮膚に張り付いているはずだとのこと。つまり10枚組であれば1ヶ月以上にわたって利用できるということになる。

面白そうだとオーダーに走る人もいるかもしれないが、ちょっと注意事項も記しておこう。現在のところ、このタトゥーシール型アンロックシステムは、Motorola Xシリーズのみで利用できるようになっている（このような極限的ニッチプロダクトを、当初から多デバイス対応とするのはあまりにリスクが大きいのだ）。他のAndroidフォンを使っているような場合、このタトゥーシールを使ったアンロックはできない。

（尚、上のビデオではこのタトゥーシールが格好良く見えるように工夫したとも言っているが、どうやら何か病気による痣のように見えるという意見があることも付記しておく）。

［原文へ］

（翻訳：Maeda, H）

Heartbleedはまだ生きている、多くの零細サイトが無手当のまま

セキュリティの研究者たちがHeartbleedバグにおびえたのも、当然だ。特効薬がないからだ。一部の人たちが躍起になって、多くのシステムにパッチを当てても、インターネット全体の中では、無対応の部分が圧倒的に多いだろう。

そしてやっぱり、Heartbleedは健在だった。

(Heartbleedを知らなかった人は、ここで勉強してください。)

まず、良いニュースから: Heartbleedが発見された当初、セキュリティ企業Errataは60万あまりの罹患サーバを見つけた。その一か月後には、メジャーなサイトとホストの多くが大急ぎでパッチを当てたため、患者は31万8239、半分近くにまで減った。

悪いニュース: 針は止まったままだ。Heartbleedの発見から75日後にErrataのスキャンは、30万9197台の無手当サーバを見つけた。1か月前（31万8239）と、ほとんど変わっていない。

ほとんど横ばいだ。

つまり、攻撃のターゲットになりやすい上位1000ぐらいの人気サイトは健康体になったが、大量の小規模サイトはまだ病人だ。2か月後のパッチ適用率の低さを見るかぎり、最初に大騒ぎされたこのバグは、徐々に忘れられてしまったのだ。

では、ユーザは何をすべきか？　いちばんよいのは、Heartbleed対策のパッチを当てたと宣言していない、古い、メンテナンスの悪いサイトには、近づかないことだ。さらに重要なのは、同じパスワードをあちこちで使いまわさず、サイトごとに違うパスワードを使うこと。そうすれば、メンテナーのいない空き家のようなフォーラムにアクセスしてパスワードを盗まれても、ほかのアカウントは無事だ。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa)）

銀行やeコマースなどへのユーザのアクセスのパターンからサイバー犯罪を予知するBioCatchが$10Mを調達

映画Minority Reportを見た方なら、”事前認識(Precognition)”という概念をご存知だろう。それは未来が見える能力で、その映画では犯罪を予知して防止するのだ。イスラエルのBioCatchは、同社独自の“行動的生物測定法による確定と凶兆検出(behavioural biometric authentication and threat detection)”技術を利用して、銀行やeコマースにおけるオンライン犯罪を未然に防止する。

本日（米国時間6/17）同社は、OurCrowdとBlumberg CapitalによるシリーズAのラウンドで1000万ドルの資金調達を完了した。新たな資金は、テルアビブに本社のあるBioCatch社の研究開発体制の強化と、北米、ヨーロッパ、ブラジルなど同社の主要市場における成長努力に充てられる。

BioCatchはeコマースサイトや銀行サイトの一人のユーザにつき、“400あまりの生物行動学的、認知学的、および心理学的なパラメータ”を集めて、ユニークな（他との重複のない）プロフィールを作る。そしてそれを見て、危険なトランザクションを減らし、サイバー危機を防止する。それらの危機とは、アカウントの乗っ取り、マン・イン・ザ・ブラウザ、マルウェア、リモートアクセス攻撃などだ。 BioCatchが駆使する犯行予知技術は調査対象者に気づかれることなく、犯罪者に特有の行動パターンを同定する。

そこでは、同社独自の“不可視のチャレンジ(invisible challenges)”と呼ばれる技法も駆使される。それはユーザがサイトと対話するとき、トランザクションのセットアップ時などには一瞬、マウスカーソルが消える（見えなくなる）ことがある。この短い不可視の時間帯において、ユーザが何をするか、マウスをどう操作するかから、未来においてこのユーザを特定できる一定のプロフィールが得られる。BioCatchはいわば最後の防衛ラインであり、そのほかの認証技術や犯罪発見技術を置き換えるものではなくて、サイバー犯罪を未然に防ぐことに挑戦するのだ。

昨年は、同社の技術が、6か国計8つの銀行やeコマースサイトや大企業サイトに搭載された。同社の競合他社としては、EMCが買収したRSAや、IBMが買収したTrusteerなどが挙げられる。今回のシリーズAの前には、同社は2011年に400万ドルを調達している。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa)）

FCCのサイバーセキュリティの方針: 民間主導を側面からガイドに徹する

今朝、FCC（連邦通信委員会）のTom Wheeler委員長がAmerican Enterprise Instituteの講演会で、サイバーセキュリティに対する同委員会の取り組みについて、その概要を述べた。

Wheelerの基本的な考え方は、「サイバーセキュリティの脅威に対抗するための対策はFCCではなく民間が指導的役割を発揮する」、というものだ。FCCは政府機関として監視と指導役に徹し、市場に任せたやり方がネットワークの適切な保護に失敗したときのみ介入する。

FCCはどうやら、テクノロジの世界は変化が激しいので、通常は適切と考えられるような標準的な規制構造が有効でない、と考えているようだ。Wheelerは曰く、彼が唱導する民間主導の取り組みは、“従来の規制よりも対応が敏速”であり、“政策方針の実装とソリューションの開発に市場競争によるダイナミズムとイノベーションがもたらされる”はずだ、という。

彼の方針が効果を発揮するためには、民間企業とFCCなどの関連政府機関との協力が欠かせない。とりわけ指導的な役割を発揮しなければならないのは、FCCのPublic Safety and Homeland Security Bureau*の長、Dave Simpson提督だ。〔*: Public Safety and Homeland Security Bureau, 適切な訳語が確定していないよう。「国家安全保障省」という訳もあるが、ちょっと違うのではないか。〕

この新しい取り組みとそのための専門委員会の目標は、FCCの言葉を借りれば、リスクとその構造を同定し、リスクの像をより明瞭化する戦闘に適切な武器を提供し、その武器を展開し、それらの効果を見張ることである。

そしてわれわれ民間人は、あとからついていくのではなく、先頭に立つ。Wheelerの今回の発言は適切な概要描写であり、インターネットのオープン性とプライバシーの両方の保護を求めているが、最終的な結果が見えてくるのは遠い先のことだ。リスクは現にある。求められるのは、効果的かつ迅速な対応だ。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa)）
　

Dropbox For BusinessがBYODのセキュリティを提供するMobileSpanを買収

Dropboxが今日（米国時間6/10）、企業の社員が、ファイアウォールで保護されてる会社のデータに安全にアクセスできるためのサービスMobileSpanを買収した。MobileSpanは2014年の終わりに閉鎖されるが、開発活動はただちに停止される。Dropboxはこれまでの約1年半、同社のDropbox For Businessプロダクトのセキュリティ強化に邁進してきた。MobileSpanのBYOD関連の技術と知識が、その努力の一環として加わることになる。

MobileSpanの4人のチームは全員Dropboxに入るので、これは技術と人材合わせての本格的な買収だ。Dropboxは先週、 DropTalkを買収したばかりだが、それはこのところ同社が、プロダクトの機能充実を内製ではなく企業買収でまかなおうとしているためだ。

2011年にスタートしたMobileSpanはこれまで、True VenturesとK9 Venturesから230万ドルの資金を調達している。ユーザ企業は自分のオンプレミスのWindowsサーバにMobileSpanのゲートウェイをインストールし、社員たちにはアプリ/アプリケーションMobileSpan for iOSやMobileSpan for Windows desktopを配布する。そしてIT部門が承認を与えた社員は、サーバ上の、仕事に必要な一定の文書やフォルダ、アプリケーションなどにアクセスできるようになる。

これはユーザのデバイスを遮断するのではなくむしろ安全な接続を与えよう、という考え方なので、よりシンプルなBYODを実施できる。とはいえ、社員たちが個人的に使っているデバイスはいまどきものすごく多様化しているので、MobileSpanのようなやり方も対応の拡大が難しい。しかしここにDropboxというクラウド上の統一的なインタフェイスとリソースが現れると、デバイス多様化へのMobileSpanの対応という難題の解決が一挙に楽になる。多様なオペレーティングシステムに対するアプリ/アプリケーションの開発も、比較的短い期間でできるようになる。社員は、自分がどんなデバイスを使っていても、会社のファイルを見られるようになる。

買収を発表する声明文の中でMobileSpanはこう書いている:

“…ビジネスコンテンツがデスクトップ中心型のルーツから解放され、現代的なモバイルデバイスの上でセキュアな可用性をもつためには、まだまだやるべきことがいろいろある。このたびのDropboxとの合体もその一つであり、それにより、その夢の実現に向けての歩みが一挙に加速されるだろう。

しかしクラウド上の統一的なインタフェイスと統一的なリソースを企業に提供しうるのは、Dropboxだけではない。企業のためのクラウドストレージと、それらへのアクセスによるコラボレーションは、BoxもMicrosoftもGoogleもその他大勢も、虎視眈々とねらっている大きな市場だ。その激しいせめぎあいの中でむしろDropboxは、消費者指向のプロダクトというマイナスイメージを持たれてしまうかもしれない。そのことが、今一挙に大きくなろうとしているDropboxの成長痛だ。たとえばDropboxにはまだ、大企業が一人一人の社員に、アクセスレベルやアクセス許容ファイルを適切に設定しながら交付する、セキュリティやパーミッションの仕組みがない（というか、なかった）。

しかし本誌のエンタプライズ担当ライターRon Millerが先週書いていたように、今同社は、企業間の流行語で“Dropbox問題”と呼ばれている否定的なイメージの払拭と、企業から信頼され尊敬されるソフトウェアプロバイダになるべく努力している。今の企業では、社員たちのほとんどがDropboxの個人アカウントを持ち、彼らの一部が会社の仕事関連のファイルをそこに保存したりして、CIOたちのセキュリティ不安をかきたて、やきもきさせているのだ。

Dropboxのプロダクト/モバイル/企業担当部門の長Ilya Fushmanは、Millerにこう語っている: “結局のところ、CIOたちはぼくに‘Dropboxを怖がってはいない’と言う。ぼくは連中に、‘みんなDropboxが好きなんだ’と言ってやりたい。でも、企業とそんな仲になるためには、まだまだやるべきことがたくさんある”。

MobileSpanを買収したことは、Dropboxを企業が絶対的に求める「鍵付き箱」にすることに、大きく貢献するだろう。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa)）

TweetDeck、ハックされたが脆弱性はすでに修正―ユーザーは一度ログアウトすること

アップデート：Tweetdeck は今朝（米国時間6/11）、ハッカーの攻撃に対処してセキュリティー上の修正を行うため一時サービスを停止したが、現在は復帰している。

当初の記事：

パワーユーザーに人気があるTwitterの公式クライアント、TweetDeckが今朝ハッカーに攻撃を受けたXSS（クロスサイトスクリプティング）脆弱性を修正したと発表した。Tweetdeckはこのパッチを有効にするためにいったんログアウトしてからログインするようユーザーに求めている。

A security issue that affected TweetDeck this morning has been fixed. Please log out of TweetDeck and log back in to fully apply the fix.—
(@TweetDeck) June 11, 2014

クロスサイトスクリプティングというのはブラウザを騙して外部のコードを実行させるハッキングの手口で、脆弱性が残っている間はユーザーはTweetDeckのウェブアプリ（あるいはChromeの拡張機能）を停止するしかない。パワーユーザーにとって大いに苛立たしい話だ。

@kylebrussell ugh I dont want to use Twitter.com OR get hacked on tweetdeck ugh—
Sam Colt (@scranecolt) June 11, 2014
うへー、Twitter.comなんか使いたくないよ。しかしtweetdeckを使うとハックされるのか。うへー。

XSSS脆弱性は、たいていの場合、この記事のトップのスクリーンショットのように、無関係なポップアップを開かせるのに使われる。しかし脆弱性を長時間放置しておくとハッカーがユーザーのアカウントを乗っ取ることも可能になる。今回のTweetDeckへの攻撃ではアカウントが乗っ取られた形跡はないということだ。

[原文へ]

（翻訳：滑川海彦　Facebook Google+）

Googleのメール暗号化プラグインのコード中にNSAをおちょくるイースターエッグが

Googleは最近、Chromeブラウザのプラグインでメールの暗号化を推進すると発表して話題になった。本誌はGoogleが取り組むその課題の難しさを指摘し、また、価値ある仕事だ、とも述べた。

しかしGoogleは、そのコードの中に小さなイースターエッグを忍ばせた。そいつが、とってもおかしい。それは、こんなジョークだ（Zen Albatrossさん、ネタをどうもありがとう）:

上の図中の”SSL added and removed here”（SSLがここで加えられ取り去られた）は、合衆国の外でGoogleとYahooとのあいだで渡されるデータを盗み見するNSAの計画への、当てこすりだ。下図は、この件に関するNSAのスライドだ。

完全に同じ文があることが、おわかりかな？

Googleがメールを暗号化するコードにこのテキストを入れたのは、NSAに対する一種の皮肉で、そのときNSAはSSLという広く使われている暗号化方式をかいくぐろうとしていたのだ。そこでGoogleは、メールのユーザのためにメッセージのセキュリティを強化するこの新しいツールの中で、わざとNSA自身の言葉を使ったのだ。

画像： FLICKR/KENNETH LU; CC BY-SA 2.0のライセンスによる（画像はトリミングした）

[原文へ]
（翻訳：iwatani(a.k.a. hiwa)）

Google、簡単に使えるメール暗号化用Chromeプラグインの開発を準備中

Googleが本日アナウンスしたところによれば、ウェブベースのメールサービスで利用できる、簡単なエンドツーエンドな暗号化プラグインのリリースに向けて準備中であるようだ。暗号化技術としては、標準のOpenPGPを用いるとのこと。

Googleの狙いは、テック系以外の人も簡単にメールの暗号化を行えるようにしようとすることだ。現在もMailvelopeなどの拡張機能もあるが、Gmailや一般的なメールサービスを使いながら、メールの暗号化を行うのはなかなかとっつきにくいものとなっている。使い勝手の悪さやわかりにくさのせいもあって、現在のところはメールの暗号化を行っている人はあまりいないという状況だ。

ちなみに、Googleはプロジェクトが進行中である旨をアナウンスはしたが、プラグインのリリースはまだ行っていない。ソースコードを公開してテストを行い、広く意見を求めているところだ。OpenSLLライブラリではHeartbleedバグもあったことであり、より慎重な姿勢をとっているということなのだろう。「不完全な状態で世に出せば、さまざまな亜種が生まれてしまうことにもつながります」ということも懸念しているようだ。これもまた正しいスタンスだろう。

このプラグインはVulnerability Reward Programに属する。したがって、問題点を発見した人には報奨金が支払われることになる。

アナウンスによると「ウェブベースのメール」を使っている人は「誰でも」利用できるようになるとのこと。すなわちGmailだけでなく、他のメールサービスでも利用できるようになるということだ。メールというのは送信人がいれば受取人もいるわけで、Gmail以外でも利用できるようにするというのは、当然の選択肢だろう。

プラグインがどのようなものになり、どの程度簡単に利用できるようになるのかについてはまだわからない（まだ多くのテストを経てさまざまな改良がなされることになるのだろう）。利用する公開鍵方式の暗号化技術を使うには、なかなか複雑な手順が必要となるのがこれまでの常だった。これを広く一般の人にも使ってもらえるシステムにしようというのが、なかなか難しいものであることは否めない。

ちなみに、暗号化用拡張機能の話のみでなく、Googleは「送信中メールの暗号化」と題した「透明性レポート」も公開した。送信者受信者間でメールが流れていく際に、どの程度の暗号化が行われているのかということを検討したものだ。現在のところはGmailから送信する場合は65%ほどが暗号化されるようになっているとのこと。他サービスからの受信メールについてみると割合は低下し、暗号化率は50%ほどになるとのことだ。ドメイン毎の暗号化率などについても「送信中メールの暗号化」のページで確認することができる。

［原文へ］

（翻訳：Maeda, H）

Google Chromeのデベロッパー版に64ビット版登場―安定性、セキュリティー、パフォーマンスの改善へ

現代の主要OSはすべてネーティブに64ビットCPUをサポートしているし、多くのアプリにも64ビット版がある。しかし全般的にみてブラウザはこの動きに遅れている（Firefoxの非公式版には64ビット版が存在するが）。

しかし今日（米国時間6/3）、Googleは実験的なDeveloper版とCanary版でChromeのWindows向け64ビット版をリリースした。おそらく今年中に一般向け安定版にも64ビット版が登場するものと思われる。Macの64ビット版についてのGoogleの対応は現在のところ不明だ。

これまで長いこと「ブラウザを64ビット化してもさしたるメリットはない」という主張が優勢だった。しかし今日のリリースでGoogleがそうは考えていないことが明確になった。GoogleのWill Harrisはリリースにともなうコメントで「64ビット版には、速度の改善など数多くのメリットがある」と述べている。

64化によって最新のプロセッサ、コンパイラの最適化、命令セット、呼び出し方法が利用できるようになる。また関数のパラメータのレジスタへの受け渡しも高速化される。これにより、特にグラフィックス、マルチメディアの処理ではパフォーマンスが平均で25%も改善された。

またGoogleによれば64ビット版のChromeは32ビット版に比べてはるかにクラッシュしにくい。特にレンダリング・プロセスのクラッシュ率は半減したという。

セキュリティーも重要な改善点だ。64ビットアプリはWindows 8で採用されたHigh Entropy ASLRのようにプログラム中の重要なデータをメモリのあちこちにランダムに保持し、ハッカーが容易にアクセスすることができないようにすることによって侵入を防止する手法を利用できるという。

[原文へ]

（翻訳：滑川海彦　Facebook Google+）

プライバシー保護を重視したスマートフォンBlackphoneがSilent Circle社に$30Mの新資金を呼びこむ

暗号化通信の専門企業Silent Circleがさきほど、新たな資金調達ラウンドを発表したが、その目的は同社のプライバシー保護を強化したスマートフォンBlackphoneの需要増に応えるため、という。この、堅固なセキュリティを誇るAndroidハンドセットは、スペインのGeeksphoneとの共同開発だ。

今の、いわゆるポストSnowdenの時代には、プライバシーが新しいホットな投資分野としてもてはやされているようだ。しかもSilent Circleは昨年の夏に、同社の暗号化メールサービスを、NSAのスパイ行為が露呈したため、そして政府による盗み見行為への共謀を自ら断つために、自主的に閉鎖した。そういう意味では今回の資金調達は、同社にとって時宜にかなったもの、と言えよう。

セキュアなメールサービスを収益源とすることをやめたSilent Circleは、その焦点をセキュアなモバイル通信技術に変え、そしてその、企業としての思い切った意思決定が、新たに大きな資金獲得機会を招いたのだ。

その3000万ドルのラウンドを率いた投資家は、Ross Perot Jrとプライベート投資ファンドCain Capital LLCだ。

Perot Jr.とBritish Telecomの元CEOで会長のSir Peter BonfieldがSilent Circleの顧問団に加わり、元Dellの上級役員だったAnurag Jainが、顧問団の副会長に任命された。

Silent Circleによると、新たな資金はBlackphoneの、同社の言葉を借りれば“圧倒的に膨大な需要”に応ずるために使われる。そしてそれによって、セキュアな通信の市場における同社の成長を、加速したいのだ。

本稿未了…

[原文へ]
（翻訳：iwatani(a.k.a. hiwa)）